ＡＴＭにおけるセキュリティ対策ＡＴＭにおけるセキュリティ対策偽造（偽造キャッシュカード犯罪への対策）

(1)

ＡＴＭにおけるセキュリティ対策

（偽造

キャッシュカード犯罪への対策）

２００５年５月１９日

社団法人電子情報技術産業協会

金融端末専門委員会

(2)

検討メンバ

電話　０３-３５１８-６４２６　　E-mail：[email protected]

順朗

尚士

健二

博

茂

靖

靖高

久信

元昭

情報システム部

社団法人電子情報技術産業協会

富崎

（事務局）

技術第三本部

株式会社新興製作所

藤田

APTOソリューション開発

日本アイ・ビー・エム株式会社

木村

情報・通信グループ販売計画本部

株式会社日立製作所

大迫

自動機事業部国内営業ソリューション本部

日立オムロンターミナルソリューションズ株式会社

馬渕

金融ソリューション第一本部

沖電気工業株式会社

蛭田

ビジネス推進統括部

富士通株式会社

平山

ソフト・サービス事業本部 ATMソリューション事業部

富士通フロンテック株式会社

泉

金融ニュービジネス企画本部

日本電気株式会社

青野

（委員）

金融端末専門委員会　委員名簿（敬称略順不同）

社団法人電子情報技術産業協会（略称 JEITA）

(3)

１

１ .

.

不正

利用（偽造カード、不正カード）

現状の不正利用防止は次のとおり。

zカード紛失届や不正利用に気づいた等の時点で、当該口座の取引を停止する。

zこの口座に対してＡＴＭから取引がされた時、ＨＯＳＴが取引拒否応答して不正利用を防ぐ。

①　偽造キャッシュカードが使われないための対策

（暗証番号保護）

②　偽造キャッシュカードを作られないための対策

（カード偽造防止）

③　偽造キャッシカードによる被害が拡大しないための対策

（被害拡大防止）

④　万一、お客様が被害に遭われた場合のための対策　⇒　捜査への積極的な協力、補償　　　　

不正利用対策

残念

ながら

・拾得カード

銀行ホスト

・偽造カード

・不正カード

正しい「暗証番号」

※ＡＴＭ／ＨＯＳＴでのカード正当性チェックをすり抜け

当該口座の取引

未停止であれば

取引要求

取引許可

(4)

２

２ .

.

これまでの不正利用対策

不正利用対策

内　　容

従前から、センタ指示により実暗証カードのゼロ暗証化を実施暗証相違により有効性コードを書替え、カード使用不可とする可視範囲を制限するフィルムの装着暗証番号データ紙ジャーナル、および、電子ジャーナルにカード・イメージを印刷／保存紙ジャーナル取引履歴／取引内容／カードイメージを印刷電子ジャーナル取引履歴／取引内容／カードイメージを電子データとして保存お客様の肖像ＡＴＭを操作されたお客様を撮影し、取引内容と共に保存取引実行時のシステム内情報をＬＯＧとして保存

その他ＡＴＭ盗難プロテクタ、アンカ等で対策。　ＧＰＳ（Global Positioning System)搭載のＡＴＭもあり顧客操作画面の覗き見対策磁気カードの有効性コード実暗証カードのゼロ暗証化偽造キャッシュカードが使われないために（暗証番号保護）磁気カードイメージ印刷万一、お客様が被害に遭われた場合のためにスキミング対策偽造キャッシュカードを作られないために（カード偽造防止）取引履歴システムＬＯＧ偽造キャッシュカードによる被害が拡大しないように（被害拡大防止）不正取引チェック磁気カードの暗号化電文の暗号化

項　　目

(5)

3.

3. 最近の不正利用対策

最近の不正利用対策

不正利用対策備　　考 a-01 暗証番号の設定に制限 a-02 お客様への注意喚起 a-03 暗証番号変更への誘導 a-04 暗証番号変更機能 a-05 暗証番号桁数増加／セカンド暗証 a-06 覗き見防止用フィルム HOSTインパクト無しに不正利用対策が可 a-07 ATM後方確認用ミラー HOSTインパクト無しに不正利用対策が可 a-08 暗号化キーボード a-09 暗証キー・シャッフル機能 HOSTインパクト無しに不正利用対策が可 a-10 実暗証磁気カードの使用禁止 HOSTインパクト無しに不正利用対策が可 a-11 暗証番号スクランブル b-01 電文盗聴(通信暗号化／電文暗号化) ATM～ＨＯＳＴ間の通信回線上の暗号化であれば、ＡＴＭ／HOST共にインパクト無し b-02 ケーブルからのデータ漏洩防止 HOSTインパクト無しに不正利用対策が可 b-03 レシート発行選択機能 HOSTインパクト無しに不正利用対策が可 b-04 口座番号消し込み機能 HOSTインパクト無しに不正利用対策が可 b-05 『全銀協ICキャッシュカード』の導入 b-06 バイオメトリクス技術の採用 c-01 取引限度額変更 c-02 取引制限による不正取引防止 c-03 ＡＴＭ利用可能時間の設定 c-04 個人カード不正使用防止システム万一、お客様が被害に遭われた場合のために d-01 顔写真付き電子ジャーナル HOSTインパクト無しに不正利用対策が可項　　目類推されやすい暗証番号か否かのチェックはHOSTにて実施偽造キャッシュカードによる被害が拡大しないために（被害拡大防止）偽造キャッシュカードを作られないために（カード偽造防止）偽造キャッシュカードが使われないために（暗証番号保護）

(6)

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

暗

証

番

号

変

更

暗

証

番

号

桁

数

増

加

セ

カ

ン

ド

暗

証

プ

ラ

イ

バ

シ

ー

パ

ネ

ル

後

方

確

認

用

ミ

ラ

ー

暗

号

化

キ

ー

ボ

ー

ド

キ

ー

シ

ャ

ッ

フ

ル

ネ

ッ

ト

ワ

ー

ク

暗

号

化

ケ

ー

ブ

ル

か

ら

の

デ

ー

タ

漏

洩

防

止

レ

シ

ー

ト

発

行

選

択

口

座

番

号

消

し

込

み

Ｉ

Ｃ

カ

ー

ド

化

生

体

認

証

取

引

限

度

額

変

更

異

常

取

引

検

出

取

引

時

間

設

定

検討中

実施予定

実施済み

偽造キャッシュカード

による被害が拡大

しないために

（被害拡大防止）

偽造キャッシュカード

を作られないために

（カード偽造防止）

偽造キャッシュカード

が使われないために

（暗証番号保護）

４

４ .

.

銀行における不正利用対策の実施状況

2005年度5月10日現在

銀行（都銀・地銀・第二地銀・信託）126行のホームページ調べ

各銀行ホームページで正式に発表している内容で集計

(7)

5.

5. IC

IC

カード＆生体認証による不正利用対策

本人以外の使用は不可にする

不正利用対策として、

バイオメトリクス

技術による

生体認証

の利用があります

カード偽造対策

磁気カード

＋暗証

セキ

ュ

リ

テ

ィ

レ

ベ

ル

_{不正利用対策}

ＩＣカード

＋暗証

＋生体認証

ＩＣカード

＋暗証

＋生体認証

ＩＣカード

＋暗証

ＩＣカード

＋暗証

(8)

ご参考資料

(9)

類推されやすい暗証番号の使用禁止

お支払い金額は　　　　　××，×××円です。お支払い後残高は　　×××，×××円です。ご利用明細を発行しますかはいいいえ暗証番号を変更することをお勧めします。このお取引終了後、継続して「暗証番号変更」手続きを実施いただけます。引き続き「暗証番号変更」処理を実施しますか引き続き次回以降実施する実施する暗証変更を長期にわたり実施していない口座や、類推され易い暗証番号を設定している口座の顧客取引に対して本画面を出力する等の工夫も考えられる

a-01.

HOSTチェックにて、電話番号、生年月日、同一数字４桁等での暗証番号設定を不可とする

　　　　－新規口座開設時に窓口にて顧客指導を行うとともに、システム的にこれらの番号設定を不可とするもの

　　　

－既に設定済の暗証番号に対しシステム的に同様のチェックを行い、これら危険性の高い暗証番号を設定している顧客に「暗証変更」を促す

a-02.

お客様への注意喚起

　　　　－レシート印字、画面上のテロップやイニシャル画面等を活用し，「暗証番号変更の実施」や「類推し易い暗証番号設定の抑止」を促すもの

a-03.

暗証番号変更への誘導

　　　　－通常の出金取引等の処理終了（媒体等返却）前に「暗証番号変更」を促す画面を挿入し、イニシャル画面に戻ることなく、そのまま暗証

　　　　　　変更オペレーションに遷移することを可能とする

〈画面例〉

(10)

お客様ご自身が簡単なATM操作で暗証番号を変更

a

-

04.

04. 暗証番号変更機能

暗証番号変更機能

暗証変更要求

ホスト

ＡＴＭ

許可応答

お客さまのキー操作により

暗証番号を変更

〈画面例〉

顧客元帳

（暗証番号）

ATMで入力された暗証番号が、電話番号、

生年月日、同一数字４桁等の

類推されやすい暗証番号であるか否をチェック

(11)

暗証番号およびその運用の高度化

a

-

05.

05. 暗証番号桁数増加／セカンド暗証

暗証番号桁数増加／セカンド暗証

●暗証番号の桁数を増加

入力後、確認ボタンを押してください確認

・桁数は、４桁～１０桁くらい

　まででお客様が選択可能にする

・入力後、確認ボタンを押下

　するようにする

・桁数変更、暗証番号変更も

　ＡＴＭで可能にする

●セカンド暗証番号を設け、従来暗証番号と併用する

従来の暗証番号を入力

セカンド暗証番号を入力

（２０桁までの英数字入力可能）

第二暗証番号を押してください

〈画面例〉

(12)

（防犯ミラーと併せ比較的安価に対応可能なため導入が盛ん）　　

a

-

06.

06. 覗き見防止用フィルム

覗き見防止用フィルム

ＡＴＭ画面に覗き見防止用フィルムを装着

正面から

斜めから

〈顧客操作部例〉

〈装着時の例〉

(13)

　〈ＡＴＭ利用者の不安〉

　　・ＡＴＭを利用中、暗証番号などを覗き見される

　　・背後にいる人の気配が気になり、ＡＴＭ利用が不安

　　・普通の鏡では、視野範囲が狭い為、背後にいる人を確認できない　等々・・・

背後の様子を広範囲にわたり確認可能

・利用者が安心して取引できる環境をご提供

・暗証番号の覗き見を防止／抑止

a

-

07.

07. ＡＴＭ後方確認用ミラー

ＡＴＭ後方確認用ミラー

ＡＴＭブースに操作時後方確認（牽制）用鏡を取り付け

安価であり職員でも取り付け可能

〈ミラー取付け例〉

(14)

暗証入力のための数字キー位置を変えて、指の動きから暗証番号を盗ませない

a

-

09.

09. 暗証キー・シャッフル機能

暗証キー・シャッフル機能

〈切替例〉

〈画面例〉

(15)

印字レシート

を放出

b

-

03.

03. レシート発行選択機能

レシート発行選択機能

〈画面例〉　レシート発行選択画面

発行あり

発行なし

レシート印字なし／発行なし

お客様が

レシート要否

を選択

〈レシート例〉

レシートが不要なお客様に、不要なレシートを渡さない

(16)

お引出し１７－０２－１００９９９１２３４　　　　　　　　１２３４５６７　１０　　１０　　１０００００００　１２：３４　　　　　１０５　　　　　　　　　１６０，０００　　　　　　　９９９，９９９，９９９お引出し１７－０２－１００９９９１２３４　　　　　　　　１２＊＊＊６７　１０　　１０　　１０００００００　１２：３４　　　　　１０５　　　　　　　　　１６０，０００　　　　　　　９９９，９９９，９９９

b

-

04.

04. 口座番号消し込み機能

口座番号消し込み機能

レシートから口座番号を消して、お客様のカード情報を保護

〈レシート例〉

(17)

c

-

01.

01. 取引限度額変更

取引限度額変更

引出額を制限し不正出金の被害拡大を遅らせる

支払限度額

変更要求

ホスト

ＡＴＭ

お客さまのキー操作により

支払限度額を変更

許可応答

〈画面例〉

顧客元帳

（限度額）

限度額変更

・支払、振込

・１日あたり、１ヵ月あたり

(18)

c

-

02.

02. 取引制限による不正取引防止

取引制限による不正取引防止

ＡＴＭ設置店舗や自他行区別、セキュリティレベルの違いなどにより

許容する取引の内容に制限を設け被害額の増加を防止

Ａ支店

取引可能

銀行ホスト

取引制限情報

Ｂ支店

取引不可

取引支店／時間の限定

取引のセキュリティで区別

自行ＡＴＭ

取引可能

提携行、コンビニ等

入金に限定

自行

/

_/

他行取引で区別

　ＩＣカード取引　　　　　　磁気カード取引

限度額100万円

限度額10万円

ＩＣカード

_{偽造磁気カード}

<取引制限の例>

取引でき

ません！

支払取引で

きません！

(19)

c

-

03. ATM

利用可能時間の設定

ＡＴＭ・パソコン・携帯電話などからＡＴＭ利用可能時間帯を設定し

ＡＴＭにおけるセキュリティ対策ＡＴＭにおけるセキュリティ対策偽造（偽造キャッシュカード犯罪への対策）